网络设计安全评估内容包括网络整体架构、网络访问控制、网络通信保密、威胁防护、网络管理、网络可用性六个方面。
一、网络整体架构
▼▼网络结构
-
网络结构是否合理?
▼▼安全隔离
-
内外网之间是否采用合适的隔离措施?
-
内外网之间是否采用NAT?
▼▼安全域
-
内网是否划分安全域,明确安全防护边界?
二、网络访问控制
▼▼外部网络访问
-
是否使用策略收紧或网络设备自带功能在内外网边界实施访问控制?
-
是否使用专业设备在内外网边界实施访问控制?
▼▼不同安全域之间的访问
-
是否使用策略收紧或安全设备自带功能在内网子域边界实施访问控制?
-
是否使用专业设备在内网子域边界实施访问控制?
▼▼局域网接入
-
是否采用网络准入控制(NAC)?
▼▼远程(移动)接入
-
是否允许远程访问?
-
远程访问是否使用安全通道,通过安全通道鉴别身份、进行通讯数据保护。如:VPN、SSL等?
▼▼外联监控
-
是否部署WLAN?
-
是否允许外联?
-
是否部署非法外联监控?
三、网络通讯保密
▼▼传输加密
-
是否通过加密机或VPN来保护传输数据的保密性?
四、威胁防护
▼▼安全监测
-
是否使用自带或第三方工具定期或不定期扫描、分析网络及设备、系统/平台弱点的弱点,并采取控制措施消除这些弱点?
-
是否在网络边界上安装监控软件或硬件,实时监控进出网络的信息,并对这些信息作攻击分析和响应和漏洞形势分析和响应,且通过报告、事件记录和报警等方式通知管理员?
-
是否在系统/平台上安装监控软件或硬件,实时监控系统运行状态、主体活动、进出系统的数据流等信息,并对这些信息作攻击分析和响应、误操作分析和响应、以及漏洞形势分析和响应,且通过报告、事件记录和报警等方式通知管理员?
▼▼病毒防护
-
是否采用终端控制系统,强制执行防病毒策略?
-
是否采用终端控制系统严格控制系统/平台与外部网络的通讯连接?
-
是否在所有恶意代码可能入侵的系统/平台上或网络连接部位设置防护网关,拦截并清楚除企图进入系统/平台的恶意代码?
-
是否采用实时扫描、完整性保护和完整性检验等不同层次的技术,将恶意代码检测、多层数据保护和集中式管理功能集成起来,提供全面的恶意代码防护功能,检测、发现和消除恶意代码,阻止恶意代码的扩散和传播?
▼▼DDOS防护
-
是否采用监控工具监控系统/平台状态,提供及时的拒绝服务攻击预警。监控内容括:CPU利用率,内存利用率,数据库连接状态,应用进程数,系统错误日志,网络连通性,系统对外提供服务的延时大小等,用户连接数,处理请求的线程数等?
-
是否通过负载均衡增加系统/平台处理能力?
-
是否部署专业的防拒绝服务设备保护系统/平台?
▼▼网络滥用控制
-
是否在网络出口处对P2P等非法应用进行为和网络滥用行为做了合理的控制?
▼▼网络安全审计
-
是否部署网络安全审计系统?
五、网络管理
▼▼日常管理平台
-
是否采用集中管理平台对网络设备、系统设备、安全设备进行了统一管理?
▼▼补丁管理
-
是否采用集中式系统补丁/平台管理?
-
是否采用自动化工具进行系统/平台补丁管理?
六、网络可用性
▼▼网络可用性
-
是否提供冗余链路?
▼▼HA架构
-
是否在关键节点采用高可用性架构?
▼▼应用加速
-
是否部署了应用加速系统对单位的主要业务系统做了性能的加速提升?
▼▼数据备份与恢复
-
是否采用本地、NAS、SNA进行数据备份?
▼▼异地灾备
- 是否建设异地灾备?